Lotus Domino 6/7にXSSの脆弱性

IBM Lotus Domino 6.0/6.5/7.0にクロスサイトスクリプティング（XSS）の脆弱性が発見された。

[ITmedia]

　IBMのグループウェアサーバ「Lotus Domino」にクロスサイトスクリプティング（XSS）の脆弱性が見つかったとして、IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は11月7日、JVN（Japan Vulnerability Notes）に情報を公開した。影響を受けるのは、Domino 6.0.x/6.5.x/7.0.xそれぞれのAIX、Linux、Solaris、Windows、z/OS対応版。

　今回発見されたのは、Domino Web serverのWebページ出力時の処理が不適切なため任意のスクリプトが埋め込まれてしまうXSSの脆弱性。細工を施したWebサーバを介してDominoサーバにアクセスすると、Dominoが出力するページに埋め込まれたスクリプトがユーザーが意図しない形で実行される恐れがあるという。

　IBMは、この脆弱性を修正した最新のバージョン、Domino 6.5.6 Fix Pack 2、Domino 7.0.2 Fix Pack 2/7.0.3をリリース済み。同社は、対象ユーザーにDomino 8.0を含む最新バージョンへアップグレードするよう呼びかけている。併せて、4月30日にサポートが終了したDomino 6.0.xのユーザーに対して、6.5.x以上にアップグレードすることを推奨している。